Nick Mykhailyshyn

**Nome do Software Vulnerável e Versões Afetadas** phoenix storybook versões 0.5.0 até 1.0.x **Descrição** A execução remota de código não autenticada é possível devido à interpolação de valores de atributos não sanitizados durante a geração de templates HEEx. O manipulador de eventos WebSocket `psb-assign` na função `handle event/3` de `Elixir.PhoenixStorybook.Story.PlaygroundPreviewLive` aceita nomes e valores de atributos arbitrários de clientes não autenticados. Estes são processados pela função `handle set variation assign/3` em `Elixir.PhoenixStorybook.Helpers.ExtraAssignsHelpers` e armazenados literalmente. Durante a renderização, a função `attributes markup/1` em `Elixir.PhoenixStorybook.Rendering.ComponentRenderer` interpola esses valores em uma string de template HEEx sem escapar aspas duplas ou delimitadores de expressão. Um invasor pode injetar uma aspa de fechamento seguida por um bloco de expressão HEEx, que é então compilado via `EEx.compile string/2` e executado via `Code.eval quoted with env/3` com importações completas do Kernel e sem sandbox, permitindo a execução de código arbitrário no servidor. **Recomendações** Atualize o phoenix storybook para a versão 1.1.0 ou posterior.